(大公報 記者 賴振雄)不少人在家中安裝監控鏡頭,方便了解外傭工作或家人起居情況。消委會測試市面10款家用監控鏡頭,發現九款均有網絡安全隱患,包括無加密傳送資料,未能防禦黑客入侵,可以輕易破解密碼竊取影片。全部樣本儲存資料時安全性不足,例如是電郵地址和賬戶名稱等,未有用加密技術保護。大公報記者昨日在網上嘗試搜尋,輕易找到估計來自家用監控鏡頭的實時畫面。
消委會促請生產商改善網絡安全,用戶宜謹記於安裝後,立即更改密碼,並建議政府參考外國,推出適合本港的相關計劃和標準。
消委會昨日公布,早前在市面購買10款家用監控鏡頭,售價由269元至1888元不等,全部提供雙向語音對話、移動偵測、夜視及Google Assistant語音控制等功能。消委會委託一間獨立實驗室,根據歐洲的網絡安全標準,分析防攻擊能力、資料傳送安全程度、應用程式安全性、儲存資料保密狀況。
促提高預設密碼強度
測試結果發現,10款家用監控鏡頭中,只有售價最貴的arlo牌家居監控鏡頭,符合歐洲的網絡安全標準,防攻擊能力、資料傳送安全程度等,均獲5分最高分;其餘品牌包括:小米Mi、imou、TP-Link、BotsLab、eufy、SpotCam、EZVIZ、reolink及D-Link的樣本,均出現不同的網絡安全問題。
三款樣本(eufy、EZVIZ及D-Link)在傳輸影像時,沒有把數據加密,容易受黑客攻擊,透過「試誤法」(即利用程式,輸入不同密碼),可以破解密碼,窺探影片內容。EZVIZ和D-Link的預設密碼,分別只有6位字母或數字,較易破解。消委會建議生產商,加強預設密碼的長度及複雜性,例如混合大小楷字母、數字及特殊符號來提高強度。
測試結果並顯示,全部10款樣本在應用程式內儲存資料時,安全性不足,例如將電郵地址、賬戶名稱等,儲存在普通文字檔,未有用加密技術保護,讓黑客有機可乘。舉例reolink牌樣本,透過mysimplelink服務連接WiFi無線網絡時,傳送資料無把敏感資料加密,用戶使用手機內的應用程式瀏覽視頻時,即使已登出賬戶或登入另一個賬戶後,仍然可看到監控鏡頭的實時動態影像,裝置存在網絡安全漏洞。
倡設網絡安全標籤認證
消委會研究及試驗小組副主席雷永昌指出,新加坡、德國、芬蘭、美國等國家,已推出物聯網裝置的網絡安全標籤認證計劃,建議香港政府參考不同國家做法,推出適合本港的相關計劃和標準。
香港城市大學電子工程系副教授曾劍鋒認為,家用監控鏡頭的產品設計及應用程式,均由生產商負責,故只能促請生產商改善產品的網絡安全。
消委會建議用戶,不應購買沒有品牌或來歷不明的產品,除了品質沒有保證外,網絡安全未必很完善,若監控鏡頭由專人上門安裝及設置,安裝後應立即更改密碼:此外,市民有需要時才開啟和連接鏡頭,用完立即關掉,避免使用公共WiFi連接登入,以防賬戶資料被暗中記錄及盜取。
家用監控鏡頭選購及使用貼士
•不應購買沒品牌或來歷不明的產品
•若由專人上門安裝,安裝後應立即更改密碼
•密碼應有足夠強度,並定期更改
•善用防火牆,經常查看紀錄,偵測可疑活動
•不應使用任何公用及沒有管理權限的裝置登入賬戶
•避免使用公共WiFi進行監控
•若懷疑系統曾被入侵或植入程式,可重刷一次官方韌體(firmware)及全機還原出廠狀態,並建立全新賬戶及密碼
家居私密視頻 一搜即見
大公報記者昨日發現,在網上以WebCam等關鍵詞搜尋,已可以找到由不明網站提供、家用監控鏡頭實時視頻,例如有住在炮台山的家傭在客廳玩手機,也有村屋戶主在門口安裝的閉路電視任人看。有資訊科技專家估計,用戶安裝監控鏡頭後沒更改密碼,被黑客入侵。
大公報記者昨日瀏覽兩個網站,均報稱提供全球不同地方的監控鏡頭實時狀況,只要鍵入「HONG KONG」字眼,更可以找到多個實時畫面。部分畫面上方列明日期和時間,顯示在3月15日發生,其中一段視頻,報稱攝錄自炮台山,畫面對着客廳,一名估計是外傭的女人,大部分時間均在玩手機;另一段視頻,報稱在東涌馬灣,鏡頭長時間對着村屋外的停車場,相信戶主用於防盜。
香港資訊科技商會榮譽會長方保僑估計,相關實時視頻流出網絡,是由於不少用戶安裝監控鏡頭後,沒有重設新密碼,黑客只需輸入出廠時的密碼已可破解。他建議用戶安裝監控鏡頭後,修改登入名稱和密碼。
(來源:大公報A7:港聞 2023/03/16)
